PCIデータセキュリティ基準(PCI DSS)は,クレジットカードのカード情報と取引情報を保護するため,六つの目的と,それを達成するための12のデータセキュリティ要件を定めている。六つ目の目的は「情報セキュリティ・ポリシーの整備」である。

要件12:従業員と契約社員のための情報セキュリティに関するポリシーを整備すること

 PCI DSSでは,会社全体のセキュリティへの認識レベルを決定するセキュリティ・ポリシーの整備を求めている。このセキュリティ・ポリシーは,従業員に何を期待しているかの情報を与えるものでなければならない。

12.1 以下を満たすセキュリティ・ポリシーを確立,公開,維持,配布する。
12.1.1 本書の仕様にあるすべての要件に対応している。
12.1.2 脅威と脆弱性を特定し,正式なリスク評価につながる年間プロセスを含んでいる。
12.1.3 少なくとも一年に1回の見直しを含み,環境変更時には更新する。

 セキュリティ・ポリシーは,ISMSなどに代表されるほかの認証規格のために作成したものでも代用できるが,上記の要件を満足したものであるかどうかは確認しなければならない。特に,要件12.1.1に規定されているように,PCI DSSのすべての要件に対応しているかを確認する必要がある。

 また,要件12.1.3に規定されているように,セキュリティ・ポリシーを定期的に見直し,必要があれば更新しなければならない。見直し実施時には,セキュリティ・ポリシーが新たな脅威に関しても対応していることが分かるように,見直しの実施記録を残しておくことが望ましい。要件12.1.2にリスク評価についての要件があるが,これは次回解説する。

運用セキュリティ手順

 PCI DSSの要件に適した運用を確実に実現するために,手順書を作成する必要がある。

12.2 本書の仕様要件に適した,毎日の運用セキュリティ手順(例えば,ユーザー・アカウント保守手順,ログ・レビュー手順)を作成する。

 運用セキュリティ手順書には以下のような内容を記載する必要がある(表1)。これらは必ずしも一つの文書に記載する必要はないが,全部の内容を手順書として網羅している必要がある。

表1●PCI DSSにおいて作成が求められる手順
手順の名称 手順の内容 要件
1 外部ネットワーク接続およびファイアウオール設定変更手順 すべての外部ネットワーク接続とファイアウオール設定の変更を,認可・テストするための正式な手順 1.1.1
2 暗号鍵管理手順 カード会員データの暗号化に使用されている鍵の管理手順 3.6
3 システムおよびソフトウエア設定変更管理手順 システムおよびソフトウエア設定を変更する場合の手順 6.4
4 パスワード利用手順 カード会員データにアクセスできるすべてのユーザーに対するパスワード利用手順 8.5.7
5 従業員識別に関する手順 特にカード会員データにアクセス可能な場所において,従業員と訪問者を区別する手順 9.2
6 権限の付与に関する手順 システム・コンポーネントに対するすべてのアクセス(特にルートなどアドミニストレータ権限を持つユーザーによるもの)を,個々のユーザーとリンクするための手順 10.1
7 ユーザー・アカウント保守手順 ユーザー・アカウントの設定,変更,削除の手順 12.2
8 ログ・レビュー手順 システム・コンポーネントのログをレビューする手順 12.2
9 セキュリティ事故対応手順 セキュリティ事故対応と報告の手順 12.5.3
具体的なインシデント対応プロセス,業務の復旧および継続手順,データ・バックアップ手順,コミュニケーションと連絡方法 12.9.1

重要技術の使用ポリシー

 重要な技術を適切に使用するためのポリシーを作成する必要がある。

12.3 すべての従業員と契約社員を対象として,(例えば,モデムや無線など)従業員が接する重要な技術の適切な使用を規定するために,それらの技術に関する使用ポリシーを作成する。

 ここにある「重要な技術」とは,PCI DSSの各要件が適用されるシステム構成要素で採用される技術のうち,カード会員データおよびセンシティブ認証データの保管,伝送,処理にかかわる技術のことを指している。PCI DSSでは,システム構成要素として序文で以下を挙げている(表2)。

表2●セキュリティ要件が適用されるシステム構成要素
分類 システム構成要素
1 ネットワーク構成要素 ファイアウオール,スイッチ,ルーター,無線アクセスポイント,ネットワーク装置,その他セキュリティ装置など
2 サーバー Webサーバー,データベース・サーバー,認証サーバー,メール・サーバー,プロキシ・サーバー,ネットワーク・タイム・プロトコル(NTP)サーバー,ドメイン名(DNS)サーバーなど
3 アプリケーション 購入したアプリケーション,カスタマイズしたアプリケーション,内部アプリケーション,外部(インターネット)アプリケーションなど

人的セキュリティ対策

 PCI DSSでは,従業員と契約社員を対象として,人的セキュリティを維持することを求めている。

12.4 セキュリティ・ポリシーおよび手順においては,すべての従業員と契約社員の情報セキュリティに関する責任を,明確に定義するようにする。
12.5 個人またはチームに,次のような情報セキュリティマネジメントの責務を割り当てる。

 要件12.4では,すべての従業員と契約社員の情報セキュリティに関する責任を定義することを求めている。一方,要件12.5では,情報セキュリティマネジメントにおいて重要な業務あるいは役割について,その責任の所在を明確にすることを求めている。

12.6 すべての従業員にカード会員データセキュリティの重要性を認識させるため,正規のセキュリティ認識プログラムを導入する。
12.7 内部関係者からの攻撃のリスクを最小限に抑えるために,採用内定者を審査する。

 要件12.6では,すべての従業員に対してセキュリティの重要性を認識するためのプログラムを整備することを求めている。このプログラムには,教育・訓練以外にも,ポスター掲示や朝礼での訓話などの注意喚起も含まれる。集合研修の受講後にアンケートや簡単なテストを併せて実施することも効果的である。

表3●関連製品・サービス
分野 メーカー/ベンダー 製品/サービス
セキュリティ・コンサルティング エヌ・アール・アイ・セキュアテクノロジーズ セキュリティコンサルティングサービス
コンサルティング・サービス 富士通総研 コンサルティングサービス
情報セキュリティ・マネジメント ラック 情報セキュリティマネジメント
情報セキュリティ強化支援サービス ネットワンシステムズ 情報セキュリティ強化支援サービス

豊田 祥一
ネットワンシステムズ 営業推進グループ セキュリティ事業推進本部 コンサルティング部 部長
2005年11月,ネットワンシステムズ株式会社入社。前職において,iDCにおけるECシステムの運用業務に携わる。主にPKIを導入したインターネット・サービスの運用業務設計を担当。現職においては,ネットワーク・ベンダーの視点に基づくコンサルティング・ビジネスを推進。2006年より,PCI DSSに関するセミナー講師を実施。前宮内庁CIO補佐官。